Manuel Carpio: “No hay nada mejor a nivel mundial para obtener una valoración económica del Riesgo Cibernético que Armatum”
Armatum es la plataforma del grupo tecnológico español ABAI para ayudar a las organizaciones a obtener una valoración económica cuantitativa del Riesgo Cibernético mediante una combinación de estándares, métodos estadísticos y simulación basada en el estándar Open FAIR™.
Se trata de una herramienta que puede revolucionar los análisis que se realizan a las empresas del riesgo cibernéticos, análisis que tradicionalmente duran meses, por otros mucho más precisos y reducidos en el tiempo. El cliente inmediato son las consultoras, integradoras, bufetes de abogados, aseguradoras, “todo aquel que necesita medir el riesgo y conocer las debilidades y las recomendaciones óptimas para reducción de pérdidas”, como explica Manuel Carpio, director de Ciberseguridad de Armatum, en esta video entrevista, quien añade al cliente final, que serían “todas las empresas cuyos servicios están basados directa o indirectamente en las tecnologías de la información. Allí donde haya un riesgo tecnológico que deba ser medido para ser tratado o transferido mediante una póliza de aseguramiento se puede aplicar Armatum, y lo va a hacer reduciendo significativamente los tiempos y simplificando el proyecto de forma rigurosa”.
Carpio subraya el valor de esta plataforma a la hora de relacionar el riesgo entre los departamentos de ciberseguridad y la alta dirección de la empresa, muchas veces incapaces de encontrar un punto de unión que sirva para que ambos entiendan la problemática con sus propios términos. “Yo personalmente la veo como la piedra Rosetta que encontró Champollion en Egipto, y que fue capaz de traducir los jeroglíficos en lenguaje entendible en el mundo actual. Digo esto porque precisamente uno de los problemas que resuelve la plataforma es ese desentendimiento que ha existido tradicionalmente entre los departamentos de TI con la alta dirección de la empresa, que no entiende de tecnología pero sí de problemas financieros y de riesgos operacionales. Y es que lo que hace la plataforma es hacer de una especie de Google translator traduciendo el riesgo tecnológico al riesgo financiero”.
Pero, ¿cómo funciona este producto? ¿Qué información y estándares utiliza para que ese análisis tenga validez? “La plataforma está basada en estándares y solo estándares internacionales sometidos a público escrutinio -explica el director de Ciberseguridad de la compañía-. No nos hemos inventado nada, como decía Steve Jobs lo que hemos hecho es unir los puntos. Hemos unido varios estándares que estaban hablando cada uno de una cosa y hemos desarrollado unos algoritmos como argamasa para producir el resultado del que hemos hablado. Estos estándares son fundamentalmente Open FAIR™, un estándar abierto, que está publicado, como corazón de la herramienta, del cálculo, pero este viene acompañado de otros estándares, como por ejemplo el modelado de las variables que forman parte de un sistema de información complejo (…) mediante simulaciones Montecarlo como si fuera un director de orquesta y cada uno de los instrumentos son las distintas variables estadísticas que intervienen, como por ejemplo la resistencia de un router a ser atacado, la probabilidad de error de un operador a la hora de escribir una contraseña, etc”.